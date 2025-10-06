Roma, 6 ottobre 2025 – La proposta dell’esecutivo di Bruxelles (2022/0084(COD)) sta passando al vaglio della Commissione per le libertà civili, la giustizia e gli affari interni (LIBE) del Parlamento europeo, che potrà suggerire eventuali modifiche al Consiglio. La deadline per gli emendamenti, prevista fissata al 1 ottobre, è stata posticipata al 10 dello stesso mese su richiesta dei gruppi Socialisti e Democratici (S&D), Verdi e Renew europe.

Attacchi informatici all’UE

Già due anni fa Parlamento e Consiglio avevano adottato un Regolamento (2023/2841) per alzare il livello della cybersicurezza nelle istituzioni, negli organi e negli organismi dell’Unione poiché, secondo l’ultimo report pubblicato all’epoca dall’Agenzia dell’Unione europea per la cybersicurezza (ENISA) la Pubblica Amministrazione era stata identificata come il settore più soggetto agli attacchi degli hacker, con una percentuale del 38,5% sul totale degli attacchi condotti contro l’UE.

Ad essere prese di mira erano state principalmente le amministrazioni locali, con attacchi di tipo DDoS (Distributed Denial-of-Service), ossia mirati a bloccare il funzionamento di una rete, un server o un sito web in modo da renderlo inaccessibile agli utenti utilizzando un bombardamento massivo di traffico tramite fonti compromesse.

Al secondo posto con il 7.5% si trova il settore dei trasporti. Non è un mistero che quasi quotidianamente, dentro i confini dell’Unione, si verifichino “intrusioni in serie di tipo statale” nel settore dei trasporti marittimi, si legge nel report, e non solo. Più di recente un attacco hacker all’azienda Collins Aerospace, un fornitore di servizi per i sistemi di check-in e imbarco, ha bloccato per più di 24 ore gli aeroporti di Bruxelles, Berlino e Heathrow a Londra.

Nonostante il 60% delle intrusioni sia avvenuto con azioni di tipo phishing, ossia truffe informatiche per accedere a conti correnti, numeri di telefono e dati sensibili, una parte sostanziale degli attacchi (21.3%) è stato dovuto alle vulnerabilità dei sistemi che possono essere sfruttate per ottenere un accesso non autorizzato, interrompere i servizi o rubare i dati.

Trasparenza o segretezza?

La nuova proposta di regolamento “INFOSEC” presentata dalla Commissione mira a superare l’attuale coacervo di norme interne creando un quadro comune legislativo per tutte le istituzioni e gli organismi dell’UE, introducendo categorie armonizzate di informazioni – dalle pubbliche alle sensibili, fino a quelle classificate (in tutti i 4 livelli di segretezza) – e regole condivise per il loro trattamento.

Come già per il Regolamento “Cybersicurezza” viene proposta la creazione la nascita di un gruppo di coordinamento interistituzionale per definire politiche comuni composto dai rappresentanti delle autorità di sicurezza di ogni organo dell’Unione, la modernizzazione delle pratiche di sicurezza alla luce della trasformazione digitale e del telelavoro, e l’integrazione con le norme europee già adottate in materia di cybersicurezza.

A fronte degli elementi positivi che mirano a garantire una maggiore sicurezza nella rete informatica per lo scambio di informazioni e documenti classificati, c’è però anche un cambiamento più oscuro: INFOSEC potrebbe ridefinire completamente la possibilità di accesso dei cittadini all’amministrazione UE.

“In linea di principio, l’obiettivo di definire un quadro legislativo per il trattamento delle informazioni e dei documenti della UE è legittimo” ha detto a Euractiv Italia Emilio De Capitani, ex funzionario del Parlamento europeo e docente universitario, ma “se adottato nella sua forma attuale che permette a ogni Istituzione, Agenzia e Organismo della UE di “proteggere” sulla base di principi generici le proprie informazioni e documenti, esso potrebbe persino aprire la strada alla trasformazione della “bolla UE” in una sorta di Fortezza (amministrativa) sostituendo il principio della “transparency by design” con quello della “confidentiality by design”.

Attualmente, ricorda De Capitani, l’art 1 del Trattato prevede che “le decisioni siano prese nel modo più trasparente possibile” e non si dovrebbe sostituire il “diritto (dei cittadini) di sapere” previsto dal Trattato e dalla Carta dei Diritti fondamentali con un meccanismo in cui siano le amministrazioni a decidere chi “abbia bisogno di sapere”. Prevedendo questa come regola, “la proposta di Regolamento rovescia il principio di trasparenza dell’UE; riconoscendo alla burocrazia Eurounitaria un potere che non le spetta”.

Così, il potere di classificare le informazioni in “Confidential”, “Secret” e “Top Secret” riconosciuto non solo alla Commissione, al Consiglio e al Parlamento ma anche a tutte le Agenzie e Organismi della UE apre la strada a un mondo parallelo in cui non avrebbero diritto di accesso né i giudici europei né il Parlamento europeo. Secondo quanto previsto dalle nuove norme INFOSEC, la classificazione dei documenti sarà infatti discrezionale e decisa dalle singole istituzioni e agenzie dell’Unione che non dovranno rispondere ad alcun organo indipendente. Per accedere alle informazioni classificate bisognerà stipulare degli accordi con i singoli autori e ci si potrebbe trovare nella situazione paradossale per cui lo stesso Parlamento europeo potrebbe essere escluso dall’accesso da Agenzie come Frontex o Europol che ha lui stesso contribuito a creare.

Una simile situazione sarebbe aberrante non solo per quanto riguarda l’equilibrio tra poteri ma anche più in generale per quanto riguarda il rispetto dei principi democratici all’interno della UE.

Riconoscere a Istituzioni, agenzie e organismi della UE una tale discrezionalità nel definire quanto debba essere accessibile e quanto debba rimanere riservato vorrebbe dire, secondo De Capitani, ritornare alla situazione pre-Maastricht, quando l’accesso alle informazioni amministrative era nella piena discrezionalità delle amministrazioni, e ciò con buona pace dei principi democratici e del diritto di accesso riconosciuti dal Trattato e dalla Carta.

Il Parlamento europeo sarà tagliato fuori

Il Regolamento INFOSEC potrebbe riguardare anche i documenti e le informazioni relative agli accordi con i Paesi terzi e con altre organizzazioni internazionali.

Ora, tra questi accordi vi sono anche quelli relativi allo scambio di informazioni classificate con la Nato, con gli Stati Uniti, con la Turchia, con Israele ma, all’epoca in cui erano stati conclusi, il Parlamento europeo non era competente in materia di sicurezza e difesa. Per questo motivo, in quegli accordi il Parlamento e le altre istituzioni come la Corte di Giustizia erano e sono tuttora considerati come dei “terzi” ai quali si può rifiutare l’accesso alle informazioni “classificate” condivise in base all’accordo.

“Dopo il Trattato di Lisbona una simile pratica (che continua tuttora) dovrebbe essere vietata in quanto viola un principio fondamentale dello Stato di Diritto e di controllo democratico” ribadisce De Capitani.

La proposta INFOSEC prevede inoltre la possibilità di portare avanti accordi “esecutivi” che possano essere negoziati non solo dal Consiglio, ma anche da altre istituzioni, agenzie e organismi dell’UE senza coinvolgere l’unica istituzione direttamente legittimata dai cittadini europei.

Un’altra criticità riguarda l’impatto che questo Regolamento avrebbe sulla Corte di Giustizia dell’UE, in particolare sull’accessibilità a documenti probatori.

La Corte potrebbe trovarsi a non avere accesso alle informazioni classificate, laddove infatti sia l’“autore” del documento – sia esso un’istituzione europea o uno Stato membro – a decidere se fornire o meno tali informazioni alla Corte, come è già avvenuto in precedenza in un caso del 2010.

A fronte di così numerose criticità vi è quindi da chiedersi perché ora il Parlamento voglia chiudere al più presto i negoziati. “Quando si guida nella nebbia, accelerare non è mai la mossa migliore”, dice De Capitani.